Related articles
文 | wiwi
过去一年,AI 编程最迷人的叙事,是"人人都能做 App"——不会写代码的人,输入几句话,就能生成页面、接上数据库、部署上线,软件开发第一次看起来不再属于少数工程师。
一个叫 Moltbook 的产品,给这场狂欢递上了第一份账单。
它的定位是"AI 代理专属社交网络":代理们在上面发帖、评论、投票,靠声望系统建立信誉,被称为"代理互联网的首页"。创始人说得很坦诚,这个产品是 vibe-coded 出来的,他本人没写一行代码,全靠 AI 生成。
结果,安全研究机构 Wiz 发现,一个配置错误的 Supabase 数据库允许完整读写访问,让生产环境对任何人完全开放:150 万个 API 认证令牌、3.5 万个邮箱地址,以及大量 AI 代理之间的私密消息,全部裸奔在公网上。任何人都能冒充平台上任何一个 AI 代理账户,篡改所有公开内容。
这不是孤例,而是 2026 年正在批量发生的事。软件世界有一个残酷的常识:能跑,不等于能用;能上线,不等于能负责。AI 在批量造 App,也在批量埋雷。
Hacking Moltbook: The AI Social Network Any Human Can Control
一、最危险的不是做不出来,而是"看起来已经做好了"
Vibe Coding 最让人上头的地方,在于它把软件开发变成了一种即时反馈游戏:你提需求,AI 生成代码;你说按钮不好看,它改样式;你说部署报错,它给你一段命令。过去开发过程里的大量挫败感,被一轮轮自然语言对话抹平了。
这种体验会制造一种强烈错觉:只要页面能打开,产品就算做出来了。但真正的软件并不是页面——页面只是最容易被看见的部分。一个产品能不能安全运行,取决于一堆看不见的东西:认证、权限隔离、密钥管理、日志脱敏、攻击防护。这些东西没有截图好看,也不会在 Demo 里自动显现。
以色列安全公司 RedAccess 的一项调查,把这种错觉的代价摆到了台面上:他们发现约 38 万个公开可访问的资产,其中约 5000 个包含敏感企业信息,包括医疗记录、财务数据、内部文件和客服对话等。Axios 的报道也提到,这些资产涉及 Lovable、Base44、Replit、Netlify 这类 AI/低代码平台生成或托管的应用。RedAccess 的 CEO 说得很直接:这些应用的隐私设置,"默认就是公开访问"。
也就是说,造一个能用的 App,门槛已经被 AI 砸到几乎为零。但"知道自己在裸奔"这件事,门槛一点没降。一批看起来像产品、实际更像半成品实验的 App,被直接推到了真实世界——它们不是不能跑,而是跑得太早了。
Vibe-Coded
二、造的门槛降了,担责的门槛没跟上
AI 编程工具解决的是"如何生成代码"的问题,不是"谁来承担后果"的问题——这是这场狂欢里最容易被忽视的一句话。
Lovable 自己摊上的一起漏洞,比任何说理都更能讲清楚这一点。据安全社区披露,今年 4 月,研究员 weezerOSINT 注册一个 Lovable 免费账户后,通过少量 API 调用,就可能访问其他用户的源代码、数据库凭证和 AI 聊天记录。这不需要任何攻击性手段,问题指向接口缺乏权限校验,是一种典型的 BOLA(对象级授权缺失) 漏洞,据称影响 2025 年 11 月之前创建的项目,规模不小。研究员说,自己 48 天前已经通过 HackerOne 报告过这个问题。
Lovable 起初强调平台并未遭遇传统意义上的数据泄露,并将部分问题解释为用户对公开项目和权限设置的理解偏差。随后,事件又牵出平台后端权限调整、漏洞报告流转等问题。公司承认,今年 2 月统一后端权限设置时,"意外重新开启"了对公开项目聊天记录的访问权限;研究员也提到,HackerOne 曾把这份报告标记成"重复提交"。
一个安全漏洞绕了一圈,最后变成了平台、用户、漏洞响应流程之间互相拉扯的责任链。唯独没有人说:这个产品在设计上,本来就没有把"用户的代码和数据要被保护"当成第一优先级。
这不是道德问题,而是能力结构问题。一个独立开发者可以同时是产品经理、设计师、前端、后端、运维,但他大概率只理解前两个角色,对后面几个角色几乎没有概念——AI 可以帮他生成一段登录逻辑,但不会主动告诉他这段逻辑是否符合真实安全场景;可以帮他接入数据库,但不会替他设计最小权限原则。更微妙的是,AI 生成的代码会制造一种心理距离:"它能跑,所以应该没问题;它是模型生成的,所以大概比我懂"。AI 没有让人不需要负责,只是让很多人更晚才意识到自己需要负责。
三、半成功比没人用更危险
过去,独立开发者最怕的是没人用。但在 AI 编程时代,另一种失败会变得更危险:有人真的用了。因为只要有人使用,就会产生数据;只要有数据,就会产生责任;只要责任没人处理,就会变成风险。
The Verge 报道过一个朴素的案例:开发者 Bob Starr 用 AI 拼出的网站,上线几个月之后才发现一个 SQL 注入漏洞。文章的判断很准——业余项目和处理真实财务、医疗数据的软件之间,有一条线,但写代码的人,往往不知道自己什么时候已经跨过了这条线。
很多 AI 生成产品的问题,不在于它们太失败,而在于它们半成功。如果没人访问,它只是一个废弃项目;如果突然有人访问,它就可能变成一个无人看管的数据容器。这类产品会越来越多,因为 AI 把试错成本压得太低了——一个人可以在一个月里做十几个小工具,大多数不会真正长大,但都会短暂上线、短暂收集数据、短暂接入第三方服务,然后被遗忘在某个云平台、某个数据库实例里——依赖没有更新,密钥没有轮换,权限没人检查,接口却仍然可以访问。
传统互联网留下的是僵尸网站;AI 编程留下的可能是僵尸 App。区别在于,僵尸网站最多只是没人看,僵尸 App 可能还握着一批真实用户的数据——Moltbook 暴露的那批 API 令牌和代理私密消息, 本质上就是一个被狂欢式增长甩在身后、没人来得及收尾的数据容器。
Moltbook
四、低代码踩过的坑,AI 编程正在重新踩一遍
"非专业开发者做软件"不是新鲜事。低代码、无代码、Excel 宏,都曾承诺过类似的东西,也确实制造过隐患——很多企业里都有一批"没人敢动"的系统,原作者离职多年,文档没有,权限混乱,却仍支撑着某个关键流程。
AI 编程只是把这件事从企业内网推向了公网:以前业务人员搭坏了内部表单,影响的是一个部门;现在不懂安全配置的人搭一个 AI 工具,开放注册、挂上域名,影响的是所有上传过数据的陌生人。
更麻烦的是,这种债务不容易被看出来。一个传统烂系统通常一眼能看出粗糙;AI 生成的产品不一样,界面好看、交互流畅,会用现代化 UI 包装自己。但好看的前端, 掩盖不了脆弱的后端——RedAccess 报告里那些泄露医疗记录和银行数据的应用,外表看上去和任何一个正常上线的产品没什么区别。
五、平台不能只享受增长,不承担护栏
这件事不能只怪用户,更不该只怪用户。
AI 编程平台靠"人人都是开发者"的爽感做增长营销,卖点就是"门槛已经没了"。可一旦出事,第一反应往往是强调"这不算传统意义上的数据泄露",是"用户对权限设置存在理解偏差"——这相当于把一个完全没有工程背景的人,默认成了应该自己看懂权限模型的责任主体。这是平台一边收割"零门槛"的增长红利,一边把"零门槛"本该承担的安全代价,留给最没有能力承担它的人。Lovable 的回应路径就是现成的样本:先强调不是泄露,再把问题归到用户理解偏差,最后才牵出平台自己 2 月份的权限调整"意外"把默认值从私有改回了公开——平台自己的责任,是绕了一圈之后才被提到的那一项。
如果一个平台的卖点是"不需要懂技术",它就没有资格要求用户自己理解权限风险。默认私有而不是默认公开,默认扫描硬编码密钥,默认在上线前拦一下用户——这些不是锦上添花的功能,而是平台收"门槛"这笔钱时本该绑定的责任。今天大多数平台还在增长优先阶段,更愿意展示"十分钟做出一个漂亮应用",而不是在用户点下"发布"之前,老老实实告诉他:你的数据库现在是公开的。
值得一提的是,安全和隐私只是这笔账的一部分。围绕 AI 生成代码的版权归属、开源协议义务,以及第三方 AI 处理用户数据的合规要求,也正在被重新摆上台面。比如 Doe v. GitHub 案仍在美国法院体系中拉扯,争议之一就是 Copilot 生成代码是否移除了开源代码中的版权管理信息;苹果也已在 App Store 审核规则中要求,开发者向第三方 AI 分享用户个人数据前,必须明确告知并取得同意。换句话说,Vibe Coding 的风险不只是"有没有漏洞",还包括"代码从哪来、数据去了哪、出了事谁负责"。
六、独立开发者的新壁垒:不是会生成,而是能负责
这并不意味着 AI 编程不值得期待。它确实打开了一个巨大的空间——过去很多小需求因为开发成本太高,永远不会被满足,今天一个人就可以快速验证想法,服务小众人群。
但正因为门槛降低,新的分化会更快出现。未来,大家都会用 AI 写代码——会不会生成页面、会不会接 API,本身会越来越不是稀缺能力。真正稀缺的是:谁能把一个 Demo 变成可持续运行的产品。这中间差的不是灵感,而是工程责任——能不能理解用户数据的敏感性,能不能设计权限边界,能不能在产品废弃时删除数据、关闭接口、通知用户。
以前,一个人做产品最大的难点是做不出来;现在,做出来反而只是开始。你越容易上线,就越容易提前进入责任区。在 AI 编程时代,克制会重新变成一种能力——不是谁提示词写得更炫就是更强的开发者,而是知道哪些数据不能乱收、哪些功能不能裸跑、哪些产品不能在没有维护计划的情况下开放给真实用户。
软件没有因为 AI 变简单,只是复杂性被推迟了——藏在权限里,藏在数据库里,藏在某个已经被忘记但仍然开放的接口里。下一阶段,真正有价值的开发者、平台和社区,可能不再只是教人如何用 AI 快速做产品,而是教人如何把产品安全地放进真实世界。因为软件一旦上线,就不再只是自己的作品,它开始承载别人的信任——而信任,从来不是十分钟生成出来的。
